假设一个人想要建立一个加密协议,其中 2 方使用一种加密方案进行通信,该方案产生与随机数据(所需属性)无法区分的加密消息,因为对手不知道解密数据的密钥。(最终目标是不可检测性和合理的可否认性)
所选密码系统的哪个组件提供此属性?
是使用对称密钥加密还是公钥加密之间的选择?
还是您使用的分组密码操作模式的选择决定了这个属性?
这个关于隐写术的答案似乎暗示选择给你这个属性的对称密钥加密。这是否意味着如果您选择公钥加密,您将无法获得所需的属性? https://security.stackexchange.com/a/44295/26338
我的研究使我相信,是您选择的分组密码操作模式为您提供了此属性(例如,选择 AES-GCM 为您提供了此属性)。
为了获得所需的性能,我必须做出哪些设计选择?
让我们首先更清楚地了解“随机噪声”。这一般没有定义。您可能拥有的是特定域内的一系列随机值。例如,您希望拥有与统一随机位无法区分的位序列。
如果你想要伪随机位,那么你会更喜欢对称加密而不是非对称加密。非对称加密使用具有大量结构的数学对象,这往往表现为编码中的偏差。人们仍然可以做一些“看起来像”随机位的非对称加密,但是从长远来看,这需要一些努力(例如,Diffie-Hellman密钥交换可以通过使用椭圆曲线及其扭曲来“无偏”,假设两者适用于密码学,即具有足够大素数的阶数)。
当使用带有分组密码的对称加密时,通常会获得看起来随机的外观——也就是说,如果输出不“看起来很随机”,那么这被认为是一个弱点。事实上,经典的企鹅图表明欧洲央行很弱,因为它无法确保出现这种随机性。好的模式将实现您所追求的那种属性。但是,有办法搞砸它。例如,虽然 AES-GCM 无论如何都是一种非常精细的加密模式,但它使用了一个初始化向量接收者必须知道的;由于 IV 不是秘密的,它通常由发送者选择并与原始 GCM 输出一起编码。来自连续消息的 IV 可能有偏差;事实上,GCM 的一大优点是它可以容忍非随机 IV(它只需要连续的 IV 彼此不同)。因此,IV 可能会暴露输出数据中存在非噪声。
通常不需要这种“隐藏”属性(也不会主动避免),因此现有协议不会朝着这个方向努力。以观察者甚至不怀疑其存在的方式隐藏数据确实是隐写术的全部意义,加密可以提供帮助,但需要小心谨慎。